Banco Pichincha es multado por permitir que terceros carguen S/4.000 a tarjeta de cliente

Una nueva multa para banco. La Comisión de la Oficina Regional del Indecopi en Cajamarca sancionó al Banco Pichincha S.A.A. con 3,49 UIT, equivalente a S/18 mil 671,50, por no haber adoptado las medidas de seguridad necesarias para impedir que se realicen operaciones fraudulentas por un monto superior a los S/4.000 a cargo de la tarjeta de crédito del consumidor denunciante.

Esta decisión, que ya viene en segunda instancia administrativa, se generá luego de las indagaciones realizadas por Indecopi. “La entidad financiera vulneró el artículo 19° del Código de Protección y Defensa del Consumidor, referido al deber de idoneidad, al omitir el uso de autenticación reforzada para aprobar las operaciones fraudulentas realizadas desde un canal digital (internet)“, aclararon.

Así, como medida correctiva, se ordenó al banco devolver al consumidor los importes cargados indebidamente a su línea de crédito: en total S/4.245,5 (S/3.699 y S/ 546,50), además de S/36 por concepto de la tasa administrativa abonada por el denunciante. El plazo que tiene Pichincha para cumplir con estas disposiciones es de 15 días hábiles desde la notificación de la resolución.

El caso data de agosto de 2024, cuando al cliente de Cajamarca se le hizo tres cargos a su tarjeta de crédito que este declaró no reconocer. Estos fueron hechos de las las 9:27 p.m. y en el transcurso de 30 minutos de este modo:

• El jueves 29 de agosto a las 9:27 p.m. se le cargó S/1 del aplicativo de taxi Didi (Este fue desestimado posteriormente)
• Ese mismo día, a las 9:41 p.m. se le cargó un monto de S/3.699 bajo el concepto Xiamo (posiblemente una compra de un celular de Xiaomi)
• Luego, a las 9:50 p.m. se le hizo un cargo de S/546,50 por compras en Cineplanet.

“Mediante Resolución del 17 de diciembre de 2024, en atención a la denuncia presentada por el señor [cliente], el Órgano Resolutivo de Procedimientos Sumarísimos adscrito a la Oficina Regional del Indecopi de Cajamarca (en adelante, OPS) inició un procedimiento administrativo sancionador contra Banco Pichincha S.A.A.1 (en adelante, Banco Pichincha) por presunta infracción al artículo 19 de la Ley 29571, Código de Protección y Defensa del Consumidor”, apunta Indecopi.

Banco Pichincha presentó su respuesta a esta denuncia inicial, alegando los siguientes puntos:

• El cliente presentó un reclamo ante su entidad, y en respuesta, le informaron que las operaciones cuestionadas se hicieron válidamente a través de comercios electrónicos con la información sensible de su tarjeta de crédito (número, código CVV2 y fecha de vencimiento)
• También señalaron que, la información con la que se concretaron los movimientos era obligatoria para transaccionar a través de establecimientos virtuales; además, que la misma debía ser resguardada bajo su responsabilidad. No obstante ello, le precisaron que la operación de S/ 546.50 había sido reembolsada de manera temporal a la tarjeta por el comercio (Cineplanet)
• Considerando que las compras controvertidas se concretaron con la información sensible de la tarjeta de crédito del señor cliente, la cual a su vez estaba habilitada para ser usada en comercios electrónicos y no había sido reportada en aquella fecha como robada o extraviada, concluían que adoptaron las medidas de seguridad ante dichos movimientos
• A raíz de las operaciones (...) le emitieron mensajes de texto al señor cliente, y si bien el denunciante de manera posterior cuestionó el no haber autorizado aquellas compras, tal situación no permitía la anulación de las mismas, más aún cuando estas se concretaron con la observancia de los requisitos de validez.

Asimismo, Pichincha señaló que “durante el interín del procedimiento han logrado acreditar que las operaciones de S/3.699,00 y S/546,50 no rompían el comportamiento histórico del señor [cliente], aunado a que su entidad adoptó los respectivos mecanismos de seguridad”.

A pesar de esto, Indecopi declaró infundado lo presentado por Pichincha, ¿por qué? Por los factores de seguridad para verificar que el usuario es el que compra.

“Ha de notarse que el factor de autenticación señalado por Banco Pichincha corresponde a la categoría ‘Algo que usuario conoce’, pues se trata de información que el consumidor tiene bajo su custodia (datos del plástico de su tarjeta). Sin embargo, el denunciado no ha referenciado ni probado el empleo de algún otro método de seguridad adicional al señalado, lo cual implica que, para el caso en concreto, no se observó el primer paso de la autenticación reforzada”, explicó el Indecopi.

Poreso, “para que las compras de S/3.699 y S/546,50 sean debidamente ejecutadas, no solo bastaba que el proveedor exigiese el ingreso de los datos del plástico, sino que adicionalmente a ello debió requerir el empleo de algún otro factor de las categorías ‘Algo que el usuario posee’ o ‘Algo que el usuario es’; como, por ejemplo, la validación de una clave de seguridad dinámica remitida vía mensaje de texto.